Алексей Береснев администрирование gnu/Linux с нуля санкт-Петербург «бхв-петербург» 2007

Настройка сервера OpenLDAP для аутентификации пользователей

Часто возникает необходимость в организации централизованной базы данных пользователей для нескольких компьютеров в сети. Существовавший ранее подход для решения этой задачи состоял в использовании системы NIS.

Современный подход заключается в использовании LDAP. Удобство этого варианта состоит в том, что в отличие от NIS, служба LDAP позволяет провести аутентификацию пользователей не только для доступа к сеансу Linux, но и для доступа к сеансам различных служб, например, для доступа к Web-серверу.

Клиентские программы LDAP будут запрашивать у LDAP-сервера следующую информацию, необходимую для аутентификации:
□ имена компьютеров;

□ имена и идентификационную информацию о пользователях;

□ группы пользователей;

□ адреса электронной почты пользователей и другую информацию" справочного характера.
Для организации аутентификации с помощью LDAP необходимо установить пакеты сверх стандартной установки, называющиеся обычно:
□ nss_ldap – библиотека, позволяющая использовать сервер LDAP подобно серверу NIS для аутентификации;

□ pam_idap – модуль РАМ для аутентификации в LDAP.
Передать информацию из файлов /etc/hosts,/etc/passwd и прочих в базу данных LDAP можно, используя специально разработанные сценарии, основанные на командах ldapadd ИЛИ slapadd.

Такие программы уже имеются, например, пакет openldap-migration, содержащий несколько программ на языке Per!.

Далее приведен пример 32.14 конфигурационного файла slapd.conf сервера LDAP, обеспечивающего аутентификацию.
Пример 32.19. Минимальная конфигурация slapd.conf сервера аутентификации



Пароль администратору LDAP следует установить с помощью команды

slappasswd (пример 32.20).
Пример 32.20. Команда slappasswd

Команда предложит ввести пароль с клавиатуры и выдаст зашифрованный пароль в стандартный поток вывода.

Перед переносом данных из системных файлов в базу данных LDAP с помощью пакета openldap-migration следует перейти в каталог /usr/share/openldap/migration и настроить установки в файле migrate_common.ph, как показано в примере 32.21.
Пример 32.21. Настройки в migrate_common.ph

Параметр EXTENDEP_SCHEMA требуется для переноса объектов идентификационной информации. Однако при переносе данных учетных записей пользователей из файлов /etc/passwd и /etc/shadow может возникнуть ситуация, при которой этот параметр должен быть установлен в ноль из-за ошибок переноса. Установка DEFAOLT_MAIL_HOST должна соответствовать имени почтового сервера.

Собственно миграция может быть осуществлена как в режиме on-line, так и off-line.

Можно производить миграцию в LDAP лишь нужных системных файлов, либо произвести ее целиком. Для полной автоматической миграции в режиме off-line используется скрипт migrate_all_offline.sh, а для миграции в режиме on-line, соответственно, migrate_all_online.sh.
Задания
• Остановите сервер slapd и очистите его базу данных, удалив все файлы в соответствующем каталоге.

• Проведите миграцию в режиме off-line. Если при миграции возникнут сложности, например с файлом /etc/services, создайте его резервную копию и переименуйте записи, встречающиеся (по мнению программы миграции) несколько раз. Возможно, процедуру миграции придется повторить несколько раз. Не забывайте очищать базу данных после каждой неудачной попытки.

• Установите права владения на файлы базы данных, соответствующие пользователю, от имени которого запускается slapd (обычно пользователь ldap), и запустите сервер.

Настройка аутентификации пользователей на сервере LDAP

Конфигурационным файлом клиентов LDAP nss_ldap и pam_ldap, необходимых для аутентификации, является /etc/ldap.conf. Клиентские утилиты LDAP, например, ldapsearch имеют свой файл конфигурации –/etc/openldap/ldap.conf

Далее приводится пример 32.22 конфигурации клиентской части LDAP на той же машине, где запущен сервер LDAP.
Пример 32.22. Минимальные настройки /etc/ldap.conf

Файл конфигурации NSS (Name Service Switch)/ etc/nsswitch.conf должен содержать настройки, позволяющие использовать LDAP для аутентификации (пример 32.23).
Пример 32.23.Настройки в etc/nsswitch.conf

Такие настройки обеспечивают первоочередной поиск информации в локальных файлах, и только в случае отсутствия искомой информации там будет производиться обращение к LDAP.

После настройки NSS на использование LDAP в файле /etc/hosts могут быть оставлены только записи для localhost и для LDAP-сервера.

Для проверки работоспособности NSS после настройки нужно исследовать данные, выводимые командой getent (пример 32.24).
Пример 32.24. Команда getent

Следует особо отметить, что команда getent shadow должна быть выполнена с правами суперпользователя, в противном случае она ничего не выведет.

Информация, хранимая в локальных файлах, должна быть выведена в первую очередь. В конце списков должны указываться элементы, содержащиеся в службе каталогов.

Для систем, использующих централизованный файл настроек РАМ для авторизации /etc/pam.d/system-auth, в этом файле можно установить следующие настройки, показанные в примере 32.25. В RH-системах сделать эти настройки очень просто, если воспользоваться командой setup, в которой можно настроить параметры аутентификации на LDAP.
Пример 32.25. Настройки РАМ для аутентификации в LDAP



Задания
• Проверьте наличие пакета nss_ldap и изучите его состав. Если его нет – установите.

• Настройте файл/etc/ldap.conf для аутентификации на сервере ШАР, запущенном на локальной машине.

• Настройте РАМ для аутентификации в LDAP. Если вы используете RH-систему, то проще всего это сделать командой setup.

• Командой getent проверьте возможность получения аутентификационной информации от LDAP.

Защита LDAP

Угрозы информации, хранимой в LDAP, в наиболее общем виде:
□ неавторизованная выборка информации в службе каталогов;

□ неавторизованный доступ к используемой повторно авторизационной информации клиентов;

□ несанкционированный доступ к данным путем мониторинга сеансов доступа других пользователей;

□ неавторизованная модификация данных;

□ несанкционированное изменение конфигурации системы;

□ неразрешенное или излишне интенсивное использование ресурсов (отказ в доступе – Denial of Service);

□ изменение информации, передаваемой клиенту во время сеанса работы с LDAP, перенаправление информации, а также замена источника информации (LDAP spoofing).
Протокол LDAP может быть защищен с помощью следующих механизмов:
□ аутентификация клиентов посредством SASL (Simple Authentication and Security Layer), возможно, с использованием доверительного механизма обмена TLS;

□ авторизация пользователей с предоставлением доступа при подтверждении их аутентичности;

□ защита целостности данных с использованием TLS или SASL;

□ защита от подмены данных с использованием механизмов шифрования SASL;

□ ограничения доступа;

□ аутентификации серверов LDAP.
Идентификатор авторизации пользователя (authorization ID) является синонимом UID (user ID) и применяется для определения прав доступа пользователя к тому или иному ресурсу.

Идентификатор аутентичности пользователя (authentication ID) применяется для проверки, является ли пользователь тем, за кого он себя выдает.
Задания
• Проверьте, установлены ли в вашей системе пакеты openssl и cyrus-sasl.

• Что находится в этих пакетах?

Использование TLS

TLS является протоколом более высокого уровня, чем SSL, и использует последний.

При использовании TLS также возникает необходимость создания и обмена сертификатами и ключами SSL.

TLS предотвращает возможность подмены сервера и шифрует данные при передаче.

Для использования TLS необходимо указать файл ключа и сертификата. Если этот файл является /etc/openldap/ldap.pem, то в файл конфигурации slapd.conf надо добавить установки, показанные в примере 32.26.
Пример 32.26. Включение TLS в файле конфигурации slapd.conf

Файл /etc /openldap/ldap.pem является самоподписанным сертификатом, который обычно генерируется при установке OpenLDAP. Если такой сертификат отсутствует или не устраивает, то необходимо создать другой сертификат.
Для создания ключа необходимо выполнить команду, показанную в примере 32.27.
Пример 32.27. Создание ключа
openssl genrsa -out Idap.key 1024

В файле Idap.key будет находиться ключ.

Далее, используя полученный на предыдущей стадии ключ, необходимо создать файл CSR (Certificate Signing Request, запрос на подпись сертификата) – пример 32.28.
Пример 32.28. Создание запроса на подпись сертификата

При выполнении этой команды пользователю будут заданы вопросы о названии компании, ее местонахождении и проч. Эта информация должна быть проверена Агентством Сертификации для выдачи сертификата.
Внимание!
В поле cn должно быть введено полное доменное имя (FQDN) сервера LDАР, например, black, class . edu.
Файл CSR должен быть передан для подписи в коммерческое сертификационное агентство (например, в Thawte или VerySign). Если используется приватное сертификационное агентство, то CSR может быть обработан при помощи команды, показанной в примере 32.29.
Пример 32.29. Подпись сертификата

В этом случае будет создан файл ldap.cert, содержащий подписанный ключом сертификационного агентства (сертификат агентства в файле ca.cert, a приватный ключ агентства – в файле са.кеу) публичный сертификат сервера LDAP.

Сертификат и приватный ключ собственного (приватного) сертификационного агентства могут быть созданы с помощью команд, показанных в примере 32.30.
Пример 32.30.Создание сертификата приватного СА

Содержимое сертификата LDAP-сервера может быть проверено с помощью команды, показанной в примере 32.31.
Пример 32,31 Получение содержимого сертификата сервера

В файле конфигурации slapd.conf следует установить имена файлов ключа, сертификата и сертификата агентства (пример 32.32).
Пример 32.32. Настройка сертификатов в slapd.conf

Файл /etc/openldap/ldap.conf, настраивающий поведение клиентских программ Openldap (ldapsearch и проч.), должен быть настроен на использование TLS (пример 32.33).
Пример 32.33. Настройка /etc/openldap/ldap.con

Файл /etc/ldap.conf, содержащий настройки для nss_ldap, также должен учитывать использование TLS (пример 32.34).
Пример 32.34. Включение TLS в /etc/ldap.conf

Задания
• Создайте ключ и сертификат собственного агентства сертификации.

• Создайте ключ и запрос на сертификацию для сервера. Подпишите запрос на сертификацию и создайте сертификат сервера.

• Измените конфигурацию slapd.conf и запустите сервер LDAP с измененными настройками.

• Настройте файл /etc/openldap/ldap.conf на использование TLS, Опробуйте работу команды Idapsearch.

• Настройте файл (только в случае успешного выполнения предыдущего задания) /etc/ldap.conf на использование TLS и опробуйте аутентификацию, например, командой id.